Um ator de ameaças com motivações financeiras foi vinculado a uma campanha contínua de e-mails de phishing que ocorre desde pelo menos julho de 2024, visando especificamente usuários na Polônia e na Alemanha.
Os ataques resultaram na implementação de diversos payloads, como Agent Tesla, Snake Keylogger e um backdoor anteriormente não documentado apelidado de TorNet, que é entregue por meio do PureCrypter.
O TorNet recebe este nome devido ao fato de permitir que o ator de ameaça comunique-se com a máquina da vítima por meio da rede de anonimato TOR.
"O ator está executando uma tarefa agendada do Windows nas máquinas das vítimas — inclusive em endpoints com bateria fraca — para alcançar persistência," disse o pesquisador da Cisco Talos, Chetan Raghuprasad, em uma análise publicada hoje.
O ator também desconecta a máquina da vítima da rede antes de baixar o payload e, em seguida, reconecta-a à rede, permitindo-lhes evadir a detecção por soluções de antimalware na nuvem.
O ponto de partida dos ataques é um e-mail de phishing que traz falsas confirmações de transferência de dinheiro ou recibos de pedidos, com o ator de ameaça se passando por instituições financeiras e empresas de manufatura e logística.
Anexados a essas mensagens estão arquivos com a extensão ".tgz" numa provável tentativa de evadir a detecção.
Abrir o anexo de e-mail comprimido e extrair o conteúdo do arquivo leva à execução de um loader .NET que, por sua vez, baixa e executa diretamente na memória o PureCrypter.
O malware PureCrypter em seguida lança o backdoor TorNet, mas não antes de realizar uma série de verificações anti-debugger, anti-análise, anti-VM e anti-malware na máquina vítima para passar despercebido.
"O backdoor TorNet estabelece conexão com o servidor C2 e também conecta a máquina da vítima à rede TOR," observou Raghuprasad.
Ele possui capacidades para receber e executar assemblies .NET arbitrários na memória da máquina da vítima, baixados do servidor C2, aumentando a superfície de ataque para mais intrusões.
A divulgação acontece dias depois da firma de inteligência de ameaças dizer que observou um aumento nas ameaças por e-mail que utilizam ocultação de texto salgado no segundo semestre de 2024 com a intenção de contornar a extração de nomes de marcas por parsers de e-mail e motores de detecção.
"Ocultação de texto salgado é uma técnica simples, porém eficaz, para burlar parsers de e-mails, confundir filtros de spam e evadir motores de detecção que dependem de palavras-chave," disse o pesquisador de segurança Omid Mirzaei.
A ideia é incluir alguns caracteres no código-fonte HTML de um e-mail que não são visualmente reconhecíveis.
Para combater tais ataques, é recomendado desenvolver técnicas de filtragem avançadas que possam detectar a ocultação de texto salgado e o ocultamento de conteúdo, incluindo a detecção do uso de propriedades CSS como "visibility" e "display", e adotar uma abordagem de detecção de similaridade visual (por exemplo, Pisco) para aprimorar as capacidades de detecção.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...